#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Российские хакеры, связанные с государством, атакуют аккаунты Signal Messenger, связанные с военнослужащими и журналистами, используя вредоносные QR-коды для привязки аккаунтов жертв к их устройствам для прослушивания. Кластеры участников UNC5792 и UNC4221 используют методы фишинга для перенаправления пользователей, в то время как APT44 и Sandworm используют скрипты для фильтрации сообщений со взломанных устройств. Участившиеся атаки подчеркивают растущую угрозу для защищенных приложений обмена сообщениями на фоне растущих кибервозможностей в зонах конфликтов.
-----

Российские хакеры, связанные с государством, атакуют аккаунты в мессенджере Signal, связанные с военнослужащими, политиками, журналистами и активистами. Эти угрозы также распространяются на такие приложения, как WhatsApp и Telegram, использующие аналогичные методы.

Они используют функцию "связанных устройств" Signal, используя вредоносные QR-коды, которые при сканировании связывают учетную запись жертвы с контролем злоумышленника. QR-коды часто маскируются под законные ресурсы.

Были выявлены две конкретные группы российских хакеров - UNC5792 и UNC4221. UNC5792 занимается созданием вредоносных URL-адресов и QR-кодов в фишинговых кампаниях. UNC4221 создает фишинговые наборы, имитирующие законные военные приложения, для маскировки действий по подключению устройств.

APT44, связанный с GRU, использует пакетный скрипт Windows под названием WAVESIGN для извлечения сигнальных сообщений через Rclone. Печально известный Chisel, приписываемый Sandworm, - это вредоносная программа для Android, которая выполняет поиск файлов базы данных сигналов. Turla использует сценарии PowerShell для фильтрации сообщений Signal, в то время как UNC1151 использует Robocopy для передачи данных из Signal Desktop.

Увеличение числа атак на Signal указывает на серьезную угрозу для защищенных приложений обмена сообщениями, что отражает более широкий рост коммерческого шпионского ПО и вредоносных программ для мобильных устройств в зонах конфликтов.

#ParsedReport #CompletenessLow
19-02-2025

TransparentTribe (Transparent Tribe) APT organization CrimsonRAT remote control sample analysis

https://www.ctfiot.com/227859.html

Report completeness: Low

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Crimson_rat
Harpoon_technique
Peppy_rat

Victims:
Government, Military

Industry:
Government, Military, Financial

ChatGPT TTPs:
do not use without manual check
T1566.001, T1204.002

IOCs:
IP: 1

Soft:
WeChat

Functions:
TransparentTribe

Languages:
c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TransparentTribe APT group нацелена на правительственные и военные структуры, используя атаки социальной инженерии harpoon с использованием вредоносных документов Office и макросов VBA. Они используют таких крыс, как CrimsonRAT и PeppyRAT, для утечки конфиденциальных данных, постоянно совершенствуя свои вредоносные программы, чтобы избежать обнаружения.
-----

TransparentTribe, группа APT, активно проводит целенаправленные кибератаки против правительственных и военных структур в соседних странах и регионах. Их основной метод заключается в использовании методов социальной инженерии для осуществления атак с использованием гарпуна. Обычно это связано с доставкой вредоносных документов, таких как файлы Word или Excel, в которых используются макросы Visual Basic для приложений (VBA) для выполнения вредоносного кода при открытии. Вредоносные макросы запускают различные инструменты удаленного доступа (RAT), включая CrimsonRAT и PeppyRAT, которые предназначены для кражи конфиденциальной информации из целевых систем.

Следует отметить эволюцию тактики TransparentTribe; группа продемонстрировала приверженность диверсификации направлений атак и расширению арсенала вредоносных программ. Они часто обновляют свои методы первоначального проникновения, используя новые и специально разработанные вредоносные программы, позволяющие избежать обнаружения и повысить вероятность успешных атак. Примечательно, что компоненты удаленного управления их вредоносного ПО, как правило, написаны на C#, а частота взаимодействия команд и контроля (C2) соответствует предыдущим образцам, с которыми сталкивались в ходе предыдущих атак.

Ожидается, что по мере развития ситуации с угрозами такие организации, как TransparentTribe, будут активизировать свои кибероперации. Это включает в себя не только запуск новых атак, но и разработку новых вариантов вредоносного ПО и совершенствование методов обхода мер безопасности. Растущая сложность их стратегий атак создает серьезные проблемы для специалистов в области кибербезопасности, поскольку эти разработки требуют расширенных аналитических возможностей и оперативного реагирования на возникающие угрозы.

Текущие тенденции указывают на то, что APT-группы будут продолжать наращивать свою деятельность, что все больше затрудняет аналитикам threat intelligence эффективное отслеживание и устранение этих угроз. Следовательно, индустрия безопасности должна сосредоточиться на расширении своих возможностей в области анализа угроз, используя оперативные данные для противодействия различным методам атак, используемым такими группами.

Исследователи, занимающиеся анализом вредоносных программ, должны сохранять бдительность, приспосабливаясь к постоянному развитию технологий атак, особенно тех, которые широко распространены в кампаниях по вымогательству, кибершпионаже и других вредоносных операциях. Существует призыв к сотрудничеству между профессионалами в этой области для обмена информацией и анализом семейств вредоносных программ, поскольку коллективный разум может привести к более эффективной защите от постоянных угроз, создаваемых APT-организациями, такими как TransparentTribe.

#ParsedReport #CompletenessLow
19-02-2025

Analysis of attack activities of APT-C-28 (ScarCruft) organization using file-free delivery of RokRat

https://www.ctfiot.com/228098.html

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: information_theft)

Threats:
Rokrat

Victims:
South korean government, Corporate personnel, North korean-related organizations, Individuals

Industry:
Military, Healthcare, Government, Aerospace, Transport

Geo:
North korean, Asian, Korea, Korean, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001, T1059.001, T1027, T1055, T1071.001

IOCs:
File: 12
Path: 1
Registry: 2
Hash: 8

Soft:
WeChat

Algorithms:
zip, xor

Functions:
bytearray

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-28 (ScarCruft) нацелен на Южную Корею с помощью вредоносного ПО RokRat, использующего фишинговые электронные письма с вредоносными файлами LNK для проведения атак. Группа адаптировала свою тактику, внедряя зашифрованную полезную информацию непосредственно в файлы LNK, чтобы избежать обнаружения.
-----

APT-C-28, обычно называемая ScarCruft или APT37, представляет собой сложную группу APT, базирующуюся в Северо-Восточной Азии. Действующая с 2012 года организация нацелена в первую очередь на Южную Корею и различные азиатские страны, уделяя особое внимание ключевым отраслям промышленности, таким как химическая промышленность, электроника, аэрокосмическая промышленность, автомобилестроение, здравоохранение и обрабатывающая промышленность. Основной целью группы является кража конфиденциальных разведданных и данных, относящихся к военным, политическим и экономическим вопросам.

Важнейшим инструментом, используемым APT-C-28, является RokRat, облачный троян удаленного доступа (RAT), который играет важную роль в их работе как минимум с 2016 года. Это вредоносное ПО позволяет злоумышленникам проникать в сети, извлекать критически важную информацию и вести долгосрочное наблюдение за своими жертвами. Метод внедрения заключается в создании настраиваемых фишинговых электронных писем, в которых используется информация, полученная с законных веб-сайтов, чтобы заставить жертву перейти по вредоносным ссылкам или вложениям. В частности, APT-C-28 использует файлы LNK, которые используют методы без использования файлов для внедрения вредоносного ПО RokRat.

При взаимодействии адресата с файлом LNK фишингового электронного письма вредоносная информация, содержащаяся в зашифрованном формате, высвобождается. Этот процесс включает в себя использование алгоритма XOR для расшифровки шелл-кода RokRat, который впоследствии загружает и запускает вредоносное ПО. Файлы LNK выполняют команды PowerShell для извлечения различных файлов из встроенных данных, включая документы-приманки, вредоносные скрипты BAT и PowerShell-скрипты. Полученные данные указывают на то, что кампании APT-C-28 являются специализированными и часто нацелены на организации, связанные с Северной Кореей.

В ходе недавних разработок APT-C-28 скорректировал свои методы, отказавшись от передачи зашифрованных полезных данных через облачные сервисы, поскольку меры безопасности быстро нейтрализуют такие стратегии. Вместо этого они внедряют эти полезные данные непосредственно в вредоносные файлы LNK. Примечательно, что версия RokRat 2024 года архитектурно похожа на свою предшественницу, но демонстрирует изменения в векторе атаки и стратегии, в частности, за счет маскировки своего пользовательского агента под робота Googlebot во время общения. Эта адаптация подчеркивает постоянные изменения APT-C-28 в тактике обхода эволюционирующих средств защиты от кибербезопасности.

Для устранения угрозы, исходящей от APT-C-28 и, в частности, от RokRat, рекомендуются различные превентивные меры. К ним относятся повышение уровня осведомленности сотрудников о безопасности, обучение распознаванию попыток фишинга и вредоносных вложений, внедрение систем фильтрации электронной почты для блокирования таких угроз, обеспечение регулярного сканирования системы электронной почты и поддержание современной антивирусной защиты. Кроме того, ограничение прав пользователя на выполнение определенных типов файлов, таких как файлы LNK, и применение строгого контроля доступа могут значительно снизить риск успешных атак.

Непрерывный мониторинг и сбор разведданных, касающихся APT-C-28 и RokRat, будут иметь решающее значение для разработки эффективных стратегий обороны и адаптации к их меняющимся методам эксплуатации.

#ParsedReport #CompletenessLow
19-02-2025

Vgod RANSOMWARE

https://www.cyfirma.com/research/vgod-ransomware/

Report completeness: Low

Threats:
Vgod
Dll_sideloading_technique
Process_injection_technique
Credential_dumping_technique

TTPs:
Tactics: 9
Technics: 30

IOCs:
File: 1
Hash: 1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Vgod нацелена на системы Windows, шифрует файлы с расширением ".Vgod", использует тактику уклонения, изменяет обои для рабочего стола и использует стратегию двойного вымогательства, удаляя конфиденциальные данные наряду с шифрованием.
-----

Программа-вымогатель Vgod, недавно обнаруженная исследователями CYFIRMA, представляет собой сложную угрозу, предназначенную для систем Windows. При взломе системы жертвы Vgod шифрует файлы с использованием передовых методов шифрования и присваивает уязвимым файлам особое расширение ".Vgod". Этот метод гарантирует, что файлы нелегко идентифицировать или восстановить без ключа дешифрования, что усложняет задачу по обнаружению и исправлению ошибок для сотрудников службы безопасности.

Программа-вымогатель использует сложную тактику уклонения и механизмы сохранения, которые повышают ее способность оставаться незамеченной в уязвимой среде. Во время выполнения она также изменяет обои на рабочем столе жертвы, что, вероятно, направлено на привлечение внимания к атаке и усиление психологического воздействия требования выкупа. После заражения остается записка с требованием выкупа под названием "Расшифровка Instructions.txt", в которой описаны шаги, которые жертвы должны предпринять для восстановления файла.

Примечательным аспектом программы-вымогателя Vgod является реализация стратегии двойного вымогательства. Согласно сообщению о требовании выкупа, программа не только шифрует файлы, но и передает конфиденциальные данные в хранилище злоумышленника. Такой двойной подход усиливает давление на жертв, поскольку они сталкиваются как с риском финансовых потерь в результате оплаты программ-вымогателей, так и с потенциальным раскрытием данных, если они решат не платить. Судя по всему, эта угроза нацелена как на отдельных лиц, так и на организации, что подчеркивает важность принятия комплексных мер кибербезопасности и надежного протокола реагирования на инциденты для снижения рисков, связанных с такими передовыми атаками программ-вымогателей.

#ParsedReport #CompletenessLow
19-02-2025

Exposing the Deceit: Phishing Sites Impersonating Government Entities

https://labs.k7computing.com/index.php/exposing-the-deceit-phishing-sites-impersonating-government-entities/

Report completeness: Low

Actors/Campaigns:
Sidecopy
Transparenttribe

Threats:
Lumma_stealer

Victims:
Government institutions and agencies, Military personnel, Research institutes, Educational institutions

Industry:
Government, Military, Financial

Geo:
Pakistan, Indian, India

ChatGPT TTPs:
do not use without manual check
T1566, T1110

IOCs:
Domain: 15
IP: 4
File: 1
Url: 15

Soft:
WordPress

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры выдают себя за государственные учреждения, особенно в Индии, для проведения сложных фишинговых атак, нацеленных на личную и банковскую информацию. Известный фишинговый сайт, имитирующий Верховный суд Индии, содержит скрипты для сбора данных и связан с предыдущими вредоносными кампаниями. Группа SideCopy APT также связана с этими поддельными сайтами, что свидетельствует об организованной попытке воспользоваться доверием пользователей.
-----

хакеры все чаще выдают себя за государственные учреждения, чтобы манипулировать жертвами, заставляя их раскрывать свою личную или банковскую информацию с помощью фишинговых страниц, приложений или прямых звонков. Тревожная тенденция в Индии, известная как "цифровой арест", привела к правительственным инициативам, направленным на обучение граждан способам самозащиты от подобных угроз. К особо уязвимым группам относятся сотрудники правительственных организаций, и в многочисленных случаях атаки APT нацелены на военных, исследовательские учреждения и образовательные учреждения. Эти атаки часто включают длительные стратегии с использованием знакомых инструментов и структур, что отражает систематический подход к компрометации конфиденциальных данных.

Одним из ярких примеров является фишинговый сайт, маскирующийся под официальный веб-сайт Верховного суда Индии, идентифицируемый по домену "spcourt-in.com." Этот сайт предназначен для сбора информации, позволяющей установить личность (PII), включая банковские реквизиты, контактную информацию и номера Aadhaar. Фишинговая страница содержит логотипы законных организаций, таких как Центральное бюро расследований и Резервный банк Индии, для создания видимости подлинности. Сервер, на котором размещен сайт, находится в Пакистане, с IP-адресом "64.31.22.34", который ранее подвергался атаке методом перебора на WordPress и был связан с вредоносной кампанией с участием Lumma Stealer. Фишинговый сайт использует SSL-сертификаты, выданные компанией Let's Encrypt, чтобы создать у жертв ложное ощущение безопасности.

В рамках этой структуры персональные данные, представленные на сайте, обрабатываются с помощью скриптов, предназначенных для сбора и хранения информации в формате JSON. Различные фишинговые сайты, по-видимому, используют одну и ту же инфраструктуру, что позволяет предположить скоординированные усилия по нацеливанию на пользователей под предлогом доверия, имитируя правительственные организации. Это указывает на более широкую и коварную кампанию, которая может привести к значительным утечкам данных, если ее не распознать и не устранить.

Еще один фишинговый домен, "email.gov.in.defenceindia.link", который имитирует законный сайт "email.gov.in", еще больше подчеркивает эту проблему. При подключении к этим поддельным сайтам были выявлены различные вредоносные программы и связи с группой SideCopy APT, действующей из Пакистана. Такие фишинговые кампании становятся все более изощренными, что все больше затрудняет пользователям проведение различия между законными и мошенническими сообщениями.

Учитывая растущую сложность этих фишинговых ловушек, пользователям настоятельно рекомендуется проявлять осторожность при использовании ссылок, которые могут показаться небезопасными. Проведение предварительной проверки URL-адресов и осведомленность о запрашиваемой информации становятся решающими для того, чтобы не стать жертвами подобных мошенничеств. Повышение осведомленности о кибербезопасности и использование надежных средств блокировки вредоносных веб-сайтов могут стать эффективными стратегиями защиты отдельных лиц от этих постоянных онлайн-угроз.

#ParsedReport #CompletenessLow
19-02-2025

SPAWNCHIMERA malware installed using a vulnerability in Ivanti Connect Secure

https://blogs.jpcert.or.jp/ja/2025/02/spawnchimera.html

Report completeness: Low

Threats:
Spawnchimera
Spawnnant
Spawnmole
Spawnsnail
Netstat_tool
Spawnsloth

CVEs:
CVE-2025-0283 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (<9.1, <22.7, 21.9, 21.12, 22.1)
- ivanti neurons for zero-trust access (22.2, 22.3, 22.4, 22.5, 22.6)
- ivanti policy secure (<22.7)

CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect secure (22.7)
- ivanti neurons for zero-trust access (22.7)
- ivanti policy secure (22.7)


ChatGPT TTPs:
do not use without manual check
T1190, T1055, T1070, T1027

IOCs:
IP: 1
File: 3
Coin: 1
Hash: 2

Soft:
Ivanti, unix, OPENSSH

Algorithms:
xor

Links:
https://github.com/sfewer-r7/CVE-2025-0282/blob/main/CVE-2025-0282.rb

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В январе 2025 года Ivanti сообщила о критической уязвимости, связанной с переполнением буфера (CVE-2025-0282), которая была использована атакующими группами для развертывания нового варианта вредоносного ПО SPAWN, SPAWNCHIMERA. Эта вредоносная программа использует усовершенствованные методы обфускации, используя доменные сокеты UNIX для обмена данными, модифицированную функцию strncpy для обходного копирования и зашифрованные секретные ключи, что значительно усложняет обнаружение и реверс-инжиниринг.
-----

В январе 2025 года Ivanti опубликовала предупреждение о критической уязвимости в своем программном обеспечении connect secure, идентифицированной как CVE-2025-0282. Эта уязвимость, проблема переполнения буфера, связанная с использованием функции strncpy, использовалась в различных атаках, начиная с конца декабря 2024 года, до публичного раскрытия. JPCERT/CC подтвердил многочисленные инциденты, связанные с использованием этой уязвимости, когда различные группы злоумышленников использовали ее для развертывания семейства вредоносных программ SPAWN, в частности, обновленного варианта, получившего название SPAWNCHIMERA.

В SPAWNCHIMERA внесены некоторые изменения, направленные на обфускацию и уклонение от обнаружения. Одно из существенных изменений касается методологии взаимодействия между процессами; она перешла от использования TCP-портов для передачи вредоносного трафика к внутренним сокетам домена UNIX. Эта настройка позволяет экземплярам SPAWNCHIMERA, внедренным в различные процессы, отправлять и получать данные, не отображаясь в обычных инструментах сетевого мониторинга, таких как netstat, что усложняет усилия по обнаружению.

Кроме того, в SPAWNCHIMERA реализована функция динамического устранения уязвимости CVE-2025-0282. В ней реализована модифицированная функция strncpy, предназначенная для ограничения размера копии до 256 байт, но сохраняющая способность распознавать потенциальные попытки использования. Примечательно, что если первый байт скопированного исходного кода соответствует предопределенному значению, защитный механизм может быть отключен, что позволит злоумышленникам проверить свои методы эксплойта, не запуская защиту.

Другая заметная эволюция связана с обработкой секретных ключей в вредоносной программе. В предыдущих версиях секретные SSH-серверные ключи были жестко закодированы в текстовом формате и экспортировались в виде файлов, что повышало вероятность обнаружения. Однако SPAWNCHIMERA кодирует эти ключи с помощью функции XOR и не экспортирует их в виде отдельных файлов, тем самым снижая вероятность того, что они оставят заметные следы во время криминалистического анализа.

SPAWNCHIMERA также отличается от своих предшественников, в частности, в том, как она идентифицирует вредоносный трафик. Вместо статических проверок, основанных на жестко заданных значениях, теперь в своих функциях декодирования используется более сложный метод расчета, что усложняет обратное проектирование и анализ. Кроме того, были удалены функции отладки, которые снижали эффективность работы, что еще больше повысило скрытность вредоносного ПО.

#ParsedReport #CompletenessHigh
19-02-2025

#StopRansomware: Ghost (Cring) Ransomware

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-050a

Report completeness: High

Actors/Campaigns:
Ghost_ransomware (motivation: financially_motivated)

Threats:
Ghost_ransomware
Crypt3r
Wickrme
Hsharada
Rapture
Proxyshell_vuln
Cobalt_strike
Beacon
Sharpzerologon_tool
Sharpgpppass_tool
Badpotato_tool
Godpotato_tool
Mimikatz_tool
Ladon_tool
Sharpshares_tool
Sharpnbtscan_tool
Shadow_copies_delete_technique
Beichendream_tool
Credential_dumping_technique

Industry:
Education, Government, Healthcare, Critical_infrastructure

Geo:
China

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: 6.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2010-2861 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe coldfusion (le9.0.1)

CVE-2009-3960 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe blazeds (le3.2)
- adobe coldfusion (7.0.2, 8.0, 8.0.1, 9.0)
- adobe flex data services (2.0.1)
- adobe livecycle (8.0.1, 8.2.1, 9.0)
- adobe livecycle data services (2.5.1, 2.6.1, 3.0)
have more...
CVE-2014-1812 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2)

CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint enterprise server (2016)
- microsoft sharepoint foundation (2013)
- microsoft sharepoint server (2010, 2019)

CVE-2020-1472 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows server 2008 (r2)
- microsoft windows server 2012 (r2)

CVE-2018-13379 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<1.2.9, 2.0.0)
- fortinet fortios (<5.4.13, <5.6.8, <6.0.5)

CVE-2017-0143 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server message block (1.0)

CVE-2021-34473 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)

CVE-2021-34523 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange server (2013, 2016, 2019)


TTPs:
Tactics: 11
Technics: 28

IOCs:
File: 19
Command: 1
Hash: 14
Email: 30

Soft:
Fortinet FortiOS, Adobe ColdFusion, Microsoft SharePoint, Microsoft Exchange, Windows Defender, ProtonMail

Crypto:
bitcoin

Algorithms:
md5

Functions:
Set-MpPreference

Win API:
NetBIOS

Languages:
powershell

Links:
https://github.com/leitosama/SharpZeroLogon
https://github.com/BeichenDream/GodPotato
https://github.com/BeichenDream/BadPotato
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская группа программ-вымогателей Ghost нацелена на выявление известных уязвимостей в приложениях и системах, используя быстрое внедрение вредоносного ПО Cobalt Strike и множество вариантов программ-вымогателей для вымогательства крупных сумм. Они используют незащищенные системы и методы, отключающие возможности восстановления, что затрудняет восстановление данных. Организациям рекомендуется уделять приоритетное внимание своевременному обновлению, безопасному резервному копированию и защите от фишинга, чтобы снизить риски.
-----

В рекомендациях говорится о серьезной угрозе, исходящей от группы программ-вымогателей, известной как Ghost (также известной как Cring), которая активно использует уязвимости в общедоступных приложениях и операционных системах для взлома сетей в более чем 70 странах. Группа, которая, как полагают, родом из Китая, сосредоточена на получении финансовой выгоды и атакует широкий спектр секторов, включая важнейшую инфраструктуру, здравоохранение, образование, правительство и крупные коммерческие структуры.

Злоумышленники-призраки используют общедоступные уязвимости, в том числе связанные с Fortinet FortiOS (CVE-2018-13379), Adobe ColdFusion (CVE-2010-2861, CVE-2009-3960) и службами Microsoft, включая Exchange и SharePoint (CVE-2021-34473, CVE-2021-34523), в том числе уязвимости, связанные с Fortinet FortiOS (CVE-2018-13379)., CVE-2021-31207). Эти уязвимости используются для получения первоначального доступа к сетям, в первую очередь для систем, которые не были исправлены для устранения этих известных проблем. После использования злоумышленники-призраки развертывают веб-оболочки, используют командную строку Windows и PowerShell для загрузки вредоносного ПО Cobalt Strike Beacon и продолжают устанавливать его на компьютеры жертв.

Было замечено, что злоумышленники-призраки проводят свои атаки с высокой степенью эффективности, часто переходя от первоначального взлома к развертыванию программ-вымогателей в течение одного дня. Обычно они не уделяют особого внимания постоянству, но могут создавать новые локальные и доменные учетные записи или изменять существующие для сохранения доступа. Они активно используют Cobalt Strike для повышения привилегий, выполняя встроенные функции для кражи учетных данных с помощью таких инструментов, как Mimikatz.

В своих операциях с программами-вымогателями Ghost использует несколько вариантов исполняемых файлов-вымогателей, включая Cring.exe, Ghost.exe и Locker.exe, которые шифруют данные жертв и требуют выкуп, который обычно составляет от десятков до сотен тысяч долларов в криптовалюте. Программа-вымогатель предназначена для обхода мер по восстановлению путем отключения службы теневого копирования томов и удаления теневых копий, что делает невозможным восстановление данных без ключа расшифровки.

Кроме того, известно, что злоумышленники-призраки общаются с помощью зашифрованных почтовых сервисов и используют механизмы управления, которые не связаны с регулярно регистрируемыми доменами. Вместо этого они напрямую подключаются к IP-адресам, назначенным их серверам C2, что облегчает прямую загрузку вредоносного ПО. С 2024 года группа также перешла на использование идентификаторов TOX для связи в записках о выкупе, что свидетельствует о продолжающемся совершенствовании методов работы.

Рекомендации по кибербезопасности для снижения рисков включают регулярное и надежное резервное копирование, своевременное внесение исправлений для устранения известных уязвимостей, сегментацию сети для ограничения перемещения по сети и внедрение многофакторной аутентификации, защищенной от фишинга (MFA), для привилегированного доступа. Организациям настоятельно рекомендуется незамедлительно сообщать о любых инцидентах с программами-вымогателями в соответствующие органы, чтобы помочь в эффективной борьбе с этими угрозами.

#ParsedReport #CompletenessHigh
19-02-2025

An inside look at NSA (Equation Group) TTPs from Chinas lense

https://www.inversecos.com/2025/02/an-inside-look-at-nsa-equation-group.html

Report completeness: High

Actors/Campaigns:
Equation (motivation: cyber_espionage, information_theft)
Apt_c_40 (motivation: cyber_espionage)
Duke

Threats:
Sdelete_tool
Timestomp_technique
Golden_saml_technique
Iot_reaper
Mirai
Qealler
Slingshot
Steganography_technique
Stuxnet
Foxacid
Nopen
Shadow_brokers_tool
Spear-phishing_technique
Mitm_technique
Island_tool
Seconddate
Flame_spray
Foxacid_tool
Cunning_heretics
Stoic_surgeon
Credential_harvesting_technique
Toast_bread_tool
Anydesk_tool

Victims:
Northwestern polytechnical university

Industry:
Foodtech, Telco, Aerospace, Education, Healthcare, Iot

Geo:
Russia, Denmark, Poland, Sweden, Chinese, Japan, Australia, American, Chinas, Germany, Netherlands, Taiwan, Egypt, China, Czech, Asia, Russian, Korea, Ukraine, Usa, Colombia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1557, T1190, T1003, T1573, T1070, T1219

IOCs:
File: 11
Hash: 3
Path: 1

Soft:
azure ad, chrome, linux, adfs, office 365, office365, FireFox, Android, Gmail, JunOS, have more...

Algorithms:
md5, sha1, sha256

Win API:
ntsetinformationkey

Win Services:
NTLMSSP

Languages:
objective_c

Platforms:
arm, x86, intel